Close
Visualizar esta página no seu idioma?
Todos os idiomas
Escolha seu idioma
Produtos
Para equipes
Suporte
Experimente grátis
Compre agora
Search Toggle menu
Close search

Planejamento, acompanhamento e suporte

Jira Software

Rastreamento de problema e projeto

Jira Align

Planejamento ágil empresarial

Jira Core

Gestão de negócios essenciais

Jira Service Desk

Gerenciamento colaborativo de serviços de TI

Opsgenie

Gerenciamento moderno de incidentes

Statuspage

Comunicação de incidentes

Colaboração

Confluence

Colaboração de documento

Trello

Colaboração visual em qualquer projeto

Programe, compile e libere

Bitbucket

Gerenciamento de código Git

Sourcetree

Cliente de desktop do Git e Mercurial

Bamboo

Gestão de integração e lançamento

SEGURANÇA E IDENTIDADE

Atlassian Access

Segurança e controle para a nuvem

Crowd

Gerenciamento de usuários para ambientes autogerenciados
Exibir todos os produtos
Close dropdown

Por tamanho da equipe

Startups

Perfeita para startups, da incubadora ao IPO

Pequenos negócios

Tenha as ferramentas certas para o seu negócio em expansão

Empresarial

Saiba como fazemos grandes equipes terem sucesso

Por função da equipe

Software

Planeje, construa e envie produtos de qualidade

Marketing

Associe uma estratégia vencedora

RH

Simplifique a gestão de pessoas

Jurídico

Opere com segurança e confiança

Operações

Administre o seu negócio com eficiência

TI

Forneça serviço e suporte excelentes

Finanças

Simplifique todos os processos financeiros

Resposta a incidentes

Responda, resolva e aprenda com os incidentes
Exibir todos os produtos
Close dropdown

Suporte da Atlassian

Suporte técnico

Crie um chamado de suporte

Compras e licenciamento

Ajuda sobre preços ou sua conta

Documentação

Guias de todos os nossos produtos

Migrar para a nuvem

Planeje uma migração do servidor para a nuvem

Serviços corporativos

Suporte para grandes equipes

Suporte da comunidade

Ajuda da comunidade

Obtenha ajuda de outros usuários

Partner Program

Saiba mais sobre o Atlassian Partners

Encontre um parceiro

Serviços profissionais personalizados

Aprenda e conecte

Quem somos

Aprenda sobre nossa empresa

Carreiras

Procure nossas últimas oportunidades de emprego

Treinamento e certificação

Desenvolva suas habilidades e tenha a aprovação da Atlassian

Blogs

Empreendedorismo em todos os tópicos
Veja o suporte completo
Close dropdown

Política de correção de bugs de segurança

Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.

Escopo

Abaixo, a gente explica como e quando os bugs de segurança nos produtos são resolvidos. Não aparecem na íntegra a confidencialidade ou o processo de assessoria que a gente segue.

Acordo de nível de Serviço (SLA) para correção de segurança de bugs

A gente definiu os seguintes intervalos de tempo para a correção dos itens de segurança nos produtos:

  • Os bugs de extrema gravidade (pontuação do CVSS v2 >= 8 e do CVSS v3 >= 9) devem ser corrigidos dentro de 4 semanas depois de terem sido relatados
  • Os bugs de alta  gravidade (pontuação do CVSS v2  >= 6 e do CVSS v3 >= 7) devem ser corrigidos no produto dentro de 6 semanas depois de terem sido relatados
  • Os bugs de média gravidade (pontuação do CVSS v2  >= 3 e CVSS v3 >= 4) devem ser corrigidos no produto dentro de 8 semanas depois de terem sido relatados

Vulnerabilidades graves

Quando uma vulnerabilidade de segurança grave é descoberta pela Atlassian ou por terceiros, o que a gente faz é:

  • Lançar o quanto antes uma versão nova e corrigida para a atual do produto afetado.
  • Lançar uma nova versão de manutenção para a versão anterior conforme explicado aqui:
Produto
Política de backport
Exemplo

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Desk Server e Data Center

Lançar novas correções de bugs para:

  • Versões classificadas como "Lançamento empresarial" que não atingiram o fim de sua duração.
  • Todas as versões de recursos lançadas em até 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, as seguintes correções de bugs precisariam ser produzidas:

  • Jira 8.6.x porque 8.6.0 foi lançado em 17 de dezembro 2019
  • Jira 8.5.x porque 8.5.0 foi lançado em 21 de outubro de 2019
  • Jira 8.4.x porque 8.4.0 foi lançado em 9 de setembro de 2019
  • Jira 8.3.x porque 8.3.0 foi lançado em 22 de julho de 2019
  • Jira 7.13.x porque 7.13 é um lançamento empresarial e 7.13.0 foi lançado em 28 de novembro de 2018
Confluence Server e Data Center

Lançar novas correções de bugs para:

  • Versões classificadas como "Lançamento empresarial" que não atingiram o fim da sua duração.

  • Todas as versões de recursos lançadas em até 6 meses da data em que a correção foi lançada.

Por exemplo, se uma atualização segurança crítica foi desenvolvida em 1º de janeiro de 2020, as seguintes correções de bugs precisariam ser produzidas:

  • Confluence 7.2.x porque 7.2.0 foi lançado em 12 de dezembro de 2019
  • Confluence 7.1.x porque 7.1.0 foi lançado em 4 de novembro de 2019
  • Confluence 7.0.x porque 7.0.0 foi lançado em 10 de setembro de 2019
  • Confluence 6.13.x porque 6.13 foi um lançamento empresarial e o 6.13.0 foi lançado em 4 de dezembro de 2018
Bitbucket Server e Data Center

Lançar novas correções de bugs para:

  • Versões classificadas como "Lançamento empresarial" que não atingiram o fim de sua duração.
  • Todas as versões de recursos lançadas em até 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica foi desenvolvida em 1º de janeiro de 2020, as seguintes correções de bugs precisariam ser produzidas:

  • Bitbucket 6.9.x porque 6.9.0 foi lançado em 10 de dezembro de 2019
  • Bitbucket 6.8.x porque 6.8.0 foi lançado em 6 de novembro de 2019
  • Bitbucket 6.7.x porque 6.7.0 foi lançado em 1º de outubro de 2019
  • Bitbucket 6.6.x porque 6.6.0 foi lançado em 27 de agosto de 2019
  • Bitbucket 6.5.x porque 6.5.0 foi lançado em 24 de julho de 2019

O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se ele tivesse sido classificado como lançamento empresarial, também precisaria de uma correção de bugs.
Todos os outros produtos (Bamboo, CrucibleFisheye, etc.) Só vão ser lançadas novas correções de bugs para a versão atual e a anterior.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020 para o Bamboo, as seguintes correções de bugs precisariam ser produzidas:

  • Bamboo 6.10.x porque foi lançado em 17 de setembro de 2019 e é a versão atual
  • Bamboo 6.9.x porque 6.9.0 é a versão anterior

É importante sempre ter a atualização de segurança mais recente do seu produto instalada (é uma prática recomendada). Por exemplo, se usar o Jira Software 7.5.0, é aconselhável tomar a iniciativa de atualizar para o Jira Software 7.5.3. Se uma atualização de segurança nova for lançada (o Jira Software 7.5.4, por exemplo), a diferença entre as duas versões vai ser mínima, apenas a correção do bug, facilitando a aplicação. 

O processo de resolução de vulnerabilidades graves não é válido para os produtos do Atlassian Cloud, serviços que são sempre atualizados pela própria Atlassian, sem que os clientes precisem se preocupar.

 

Vulnerabilidades não críticas

Quando um problema de segurança de gravidade alta, média ou baixa for descoberto, a Atlassian vai incluir uma correção na próxima versão a ser lançada. Pode também haver um backport da correção para as versões da oferta Empresarial, se possível. 

É necessário atualizar os programas assim que uma atualização de segurança seja lançada, para garantir que as correções de segurança mais recentes sejam implementadas.

 

Outras informações

A gravidade das vulnerabilidades é calculada com base nos níveis de gravidade dos itens de segurança.

As políticas da Atlassian são sempre avaliadas com base no retorno dos clientes, e eventuais atualizações e alterações são apresentadas nesta página. 

 

Perguntas frequentes

O que é uma "versão Empresarial"?

As versões Empresariais foram feitas para clientes Server e Data Center que preferem ter mais tempo de preparo para upgrades de versões com novos recursos, mas ainda precisam de correções de bugs. Certos produtos vão designar que uma versão específica seja Empresarial, o que resulta na disponibilização das atualizações de segurança dentro do período de suporte de dois anos.

O que é uma "versão de recursos novos"?

Versão de recursos novos (por exemplo, a 4.3) é aquela que contém recursos diferentes ou alterações importantes nos recursos em uso e que não têm uma versão Empresarial. Consulte a Política de Correção de Bugs da Atlassian para conhecer melhor a terminologia das versões.

Por que a cobertura das versões de recursos novos do Bitbucket, do Jira e do Confluence é de apenas seis meses?

O Bitbucket Server ganha versões novas com frequência, por isso 6 meses cobrem 5 ou 6 versões principais. Desde meados de 2017, o Jira e o Confluence entraram em um ritmo parecido de lançamento. Agora, recebem versões novas de 5 a 6 vezes por ano.

Por que outros produtos, como Bamboo e Fisheye/Crucible, recebem backport para apenas uma versão principal anterior?

O Jira, o Confluence e o Bitbucket Server são o foco do que a gente faz, mas é possível ampliar a cobertura para o Bamboo, Fisheye/Crucible e outros produtos para abranger outras versões principais se houver demanda suficiente.